= Instellen VPN tunnel = Vergeet niet om eerst een Netwerk check te doen, bij ''Netwerk -> Netwerk check''. De IPSEC checks moeten hier OK zijn alvorens u verder gaat. (vanaf SYN-3 versie 4.3) Het maken van een nieuwe tunnel kan vervolgens bij ''Internet'' -> ''Ipsec VPN tunnels'' -> ''Toevoegen''. == Voorbeeld == Hieronder een praktisch voorbeeld van een VPN opstelling: [[Image(ipsecexample.png)]] We zien in vestiging een 'lastige' VPN situatie, omdat hier gebruik gemaakt word van een ADSL router die een eigen subnet heeft. (10.0.0.0/24) We gaan er vanuit dat de configuratie plaatsvindt vanuit vestiging 2. Zorg er van te voren voor dat u vanuit vestiging 2 bij de SCC op vestiging 1 kan. (deze firewall instellingen dient u van te voren ter plekke te maken op vestiging 1) U logt in op de internetserver van vestiging 2 (https://192.168.2.1:10000) en maakt een tunnel aan met de volgende gegevens: * Instellingen hier - Internet IP adres: 11.44.33.22 * Instellingen hier - Lokaal netwerk: 192.168.2.1/24 * Instellingen daar – Internet IP adres: 1.2.3.4 * Instellingen daar – Netwerk achter server: 192.168.1.0/24 De publieke sleutel van de server vullen we niet in, omdat we gebruik maken van automatische configuratie. Hier vult u het adres in waarop de SCC van de andere server draait: 1.2.3.4. Hierna kiezen we voor ''Opslaan en autoconfiguratie'' en laten we de andere SCC automatisch configureren. De tunnel zal nu actief moeten worden. We hoeven dus geen rekening te houden met het subnetje van de ADSL router. We gaan er wel vanuit dat deze router inkomende connecties naar ons doorstuurt. Dit moet u wellicht nog instellen in de router. Kijk hier als u problemen ondervind: [wiki:help/scc/vpn/listtunnels] = SYN-3 ipsec instellingen = Het is ook mogelijk om een IPSEC verbinding te met andere apparaten, dit zijn de settings die SYN-3 standaard gebruikt en ondersteund: * Gebruikt protocol: '''ESP''' * Agressive mode: '''no''' * Ondersteunde algoritmen in fase 1 en 2: '''3des''' en '''aes''' * Ondersteunde hash algoritmen fase 1 en 2: '''sha1''' en '''md5''' * Ondersteunde diffie hellman key groups fase 1 en 2: '''group 2 (1024-bit)''' en '''group 5 (1536-bit)''' * Perfect forward secrecy: Staat standaard aan (aanbevolen) maar kan uit indien nodig. * IKE versie: Staat standaard op versie 1, maar kan ook op versie 2.